Plan de ciberseguridad industrial, Productividad, Tips, Vulnerabilidad

¿Cuanto debo invertir en ciberseguridad industrial?

cuanto debo invertir en ciberseguridad industrial

 

Todo director de planta deberá plantearse tarde o temprano la pregunta obligada de ¿cuánto invertir en ciberseguridad industrial?

 

  La consciencia de los altos mandos en temas de ciberseguridad industrial se está incrementando año con año, al grado que están asignando presupuesto para el proyecto inicial de implementación de un plan de ciberseguridad y el mantenimiento anual consecuente.  

 

¿Pero cuanto presupuesto debo dedicar al plan y al mantenimiento anual? Para contestar la pregunta anterior deberás tomar en consideración los siguientes puntos antes de realizar tu presupuesto.    

 

1.- SL-T (Nivel de seguridad objetivo)

El nivel de seguridad lo marca la propia empresa en base a los objetivos de producción, compromisos con sus clientes, regulaciones de gobierno y corporativas. Existen 5 niveles de SL de acuerdo al framework ISA99/IEC62443, que van del Nivel-0 (altamente expuestos a incidentes) hasta el Nivel-4 (reducción de incidentes tanto intencionados de alta sofisticación como accidentales). Recuerda que un nivel de seguridad mayor requiere una inversión más alta y tiempo de los recursos humanos que emplees.    

 

2.- Diseño de red

El diseño de red es parte fundamental de la reducción de incidentes en ciberseguridad. Nuestro diseño base de red industrial OT es similar al de una oficina o ambiente IT, pero no debe realizar un copy-paste como tal. El diseño de red OT requiere tomar en consideración a consciencia de los equipos de control ICS, servidores SCADA, DCS y PLC’s. También parte importante de la red industrial es implementar una estrategia defense-in-depth, la cual minimiza los riesgos con un costo de implementación relativamente bajo. Dentro del diseño de red industrial deberás considerar también la redundancia; existen varios diseños que van desde topología anillo (más económica y veloz) hasta las usadas en IT como la de estrella (más lento y más costosas). Ver artículo relacionado  

 

3.- Equipos de red

El equipo de red son fundamentales para la disponibilidad e integridad de los datos que se transportan en tu red OT. Los equipos de generaciones anteriores brindaban principalmente conexión, sin embargo, los equipos más modernos contribuyen en alta medida en la ciberseguridad y disponibilidad, debido a que pueden implementar redundancia, políticas de acceso, monitoreo, alerta y más funcionalidades.  

 

4.- Equipos ICS, Scada

Conocer tus equipos de planta es primordial para tu ciberseguridad. No puedes proteger lo que no se conoce. Debes contar con un inventario de activos desde los equipos más sencillos (PLC’s, HMI’s, DCS’s, ICS’s) hasta los servidores SCADA, MES.  

 

5.- Costo de tiempos muertos de producción

Conociendo el costo de tiempos muertos de producción te será de gran utilidad en términos cuantitativos para decidir el nivel de seguridad SL y calcular el retorno de inversión de tu plan de ciberseguridad industrial.  Ver artículo relacionado    

 

6.- Consultoría especializada

No debes olvidar considerar una consultoría especializada en ciberseguridad industrial. Me ha tocado ver estudios de firmas prestigiosas a nivel internacional que en una fábrica consideraron un framework de trabajo para IT. Esta consultoría solo consideró el 10% de lo que debía ser. Tomate tiempo en evaluar opciones y considerar un framework enfocado a OT. Ver artículo relacionado      

 

Ahora ya cuentas con herramientas para decidir cuanto invertir en tu ciberseguridad industrial.

 

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

      Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

 

 
 
 
 
Dudas de algún término técnico, consulta nuestra sección especializada:
 
 
Back to list